SYS2U.COM Xpert Zone

[Tentenchi]

ตอนนี้ต่อได้แล้วครับผม

สังเกตุจากใน Log คือ
มันเพิ่งขึ้น Dead Peer Detection เป็นครั้งแรกในรอบวัน
ผมใส่ให้ตรวจทุก 10 วิ ไม่รู้ว่าเกิดขึ้นเพราะสาเหตุอะไรครับผม

Jul 12 17:22:09 2012 VPN Log (g2gips0) #93: ERROR: asynchronous network error report on ppp1 for message to 58.9.17.10 port 500, complainant 58.9.17.10: No route to host [errno 148, origin ICMP type 3 code 1 (not authenticated)]
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: ignoring Vendor ID payload [strongSwan 4.0.4]
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: ignoring Vendor ID payload [strongSwan 4.0.4]
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: received Vendor ID payload [Dead Peer Detection]
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: received Vendor ID payload [Dead Peer Detection]
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: [Tunnel Negotiation Info] <<< Initiator Received Main Mode 2nd packet
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: [Tunnel Negotiation Info] <<< Initiator Received Main Mode 2nd packet
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: You should NOT use insecure IKE algorithms (OAKLEY_DES_CBC)!
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: You should NOT use insecure IKE algorithms (OAKLEY_DES_CBC)!

และแล้วก็เชื่อมต่อ VPN ได้แล้วครับผม
แต่ผมคาดว่าน่าจะยังเกิดปัญหาแบบเดิมๆในวันถัดๆไป
รบกวนช่วยเสาะหาสาเหตุให้หน่อยครับผมว่าทำไมมันหลุด

ขอบคุณมากครับ

ไม่ทราบว่ามันมีวิธีสังให้เกิด Dead Peer Detection เลยได้หรือเปล่าครับผม อย่างน้อยจะได้จัดเป็นตารางเวลาได้

Setting Ipsec

PSEC.jpg (120.16 KiB) เปิดดู 10950 ครั้ง

[sys2u]

ตอนนี้ต่อได้แล้วครับผม

สังเกตุจากใน Log คือ
มันเพิ่งขึ้น Dead Peer Detection เป็นครั้งแรกในรอบวัน
ผมใส่ให้ตรวจทุก 10 วิ ไม่รู้ว่าเกิดขึ้นเพราะสาเหตุอะไรครับผม

Jul 12 17:22:09 2012 VPN Log (g2gips0) #93: ERROR: asynchronous network error report on ppp1 for message to 58.9.17.10 port 500, complainant 58.9.17.10: No route to host [errno 148, origin ICMP type 3 code 1 (not authenticated)]
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: ignoring Vendor ID payload [strongSwan 4.0.4]
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: ignoring Vendor ID payload [strongSwan 4.0.4]
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: received Vendor ID payload [Dead Peer Detection]
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: received Vendor ID payload [Dead Peer Detection]
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: [Tunnel Negotiation Info] <<< Initiator Received Main Mode 2nd packet
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: [Tunnel Negotiation Info] <<< Initiator Received Main Mode 2nd packet
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: You should NOT use insecure IKE algorithms (OAKLEY_DES_CBC)!
Jul 12 17:22:47 2012 VPN Log (g2gips0) #93: You should NOT use insecure IKE algorithms (OAKLEY_DES_CBC)!

และแล้วก็เชื่อมต่อ VPN ได้แล้วครับผม
แต่ผมคาดว่าน่าจะยังเกิดปัญหาแบบเดิมๆในวันถัดๆไป
รบกวนช่วยเสาะหาสาเหตุให้หน่อยครับผมว่าทำไมมันหลุด

ขอบคุณมากครับ

ไม่ทราบว่ามันมีวิธีสังให้เกิด Dead Peer Detection เลยได้หรือเปล่าครับผม อย่างน้อยจะได้จัดเป็นตารางเวลาได้

PSEC.jpg

• ถ้า config ไม่แก้อะไรแล้ว แล้วมัน error ว่า " : No route to host [errno 148, origin ICMP type 3 code 1 (not authenticated)] " - อ้างอิง http://www.networksorcery.com/enp/proto ... p/msg3.htm
  
  ICMP type 3 code 1 = หมายความว่า Host unreachable error อะครับ แปลว่าตัว RV042 ไม่เจอ Host ปลายทางอะครับผม ผมเลยไม่แน่ใจว่า DDNS มัน update ได้ถูกต้องกับ WAN IP Address ปัจจุบันของฝั่งตรงข้ามหรือเปล่านะครับผม ? ถ้าพรุ่งนี้เป็นอีกให้สังเกคว่า error ip address ที่แจ้งมาตรงกับ WAN ของฝั่งโน้น ณ เวลาปัจจุบันหรือเปล่านะครับผม ลองดูนะครับผม น่าจะแถวๆนี้ละครับ
  
  
• พอ RV042 มันจะส่ง STATE_MAIN_I1 ไปเรื่อยๆ ที่ปลายทาง (Remote Secure Gateway) ถ้าไม่เจอ มันก็จะส่งไปจนถึงค่า Maximum ที่กำหนดให้ยอมแพ้ แล้วมันก็จะแจ้ง error ออกมาอะครับ ว่า ICMP type 3 code 1 เลยทำให้ไม่สามารถ authenticated ได้อะครับผม

[Tentenchi]

ขอบคุณครับผม
ที่ผมสงสัยก็เพราะว่า Router ทั้ง 2 ตัวอัพเดท DDNS ได้ถูกต้องตลอด 2 - 3 วันที่ผ่านมาครับผม
เดี๋ยวพรุ่งนี้ค่อยดู Log ใหม่อีกที

ขอบคุณอีกครั้งครับผม

[sys2u]

ขอบคุณครับผม
ที่ผมสงสัยก็เพราะว่า Router ทั้ง 2 ตัวอัพเดท DDNS ได้ถูกต้องตลอด 2 - 3 วันที่ผ่านมาครับผม
เดี๋ยวพรุ่งนี้ค่อยดู Log ใหม่อีกที

ขอบคุณอีกครั้งครับผม

• ครับผม พรุ่งนี้ลองอีกทีครับ

[Tentenchi]

พอถึงเวลาที่จะต้องเปลี่ยน IP แล้ว
ก็ Error จริงๆครับผม

Jul 12 22:56:18 2012 System Log [ppp1]: ip 58.11.69.8 remote 58.11.69.1 mask 255.255.255.255 gateway 58.11.69.1 metric 40 mtu 1492 dns1 203.144.207.49 dns2 203.144.207.29
Jul 12 22:56:18 2012 VPN Log added connection description (g2gips0)
Jul 12 22:56:18 2012 VPN Log listening for IKE messages
Jul 12 22:56:18 2012 VPN Log adding interface ppp1/ppp1 58.11.69.8:500
Jul 12 22:56:18 2012 VPN Log adding interface ppp1/ppp1 58.11.69.8:4500
Jul 12 22:56:18 2012 VPN Log shutting down interface ppp1/ppp1 58.8.27.75
Jul 12 22:56:18 2012 VPN Log shutting down interface ppp1/ppp1 58.8.27.75
Jul 12 22:56:18 2012 VPN Log forgetting secrets
Jul 12 22:56:18 2012 VPN Log loading secrets from '/etc/ipsec.d/ipsec.secrets'
Jul 12 22:56:18 2012 VPN Log (g2gips0) #102: initiating Main Mode
Jul 12 22:56:18 2012 VPN Log (g2gips0) #102: [Tunnel Negotiation Info] >>> Initiator Send Main Mode 1st packet
Jul 12 22:56:18 2012 VPN Log (g2gips0) #102: [Tunnel Negotiation Info] >>> Initiator Send Main Mode 1st packet
Jul 12 22:56:18 2012 System Log WAN connection is up : 58.11.69.8/255.255.255.255 gw 58.11.69.1 on ppp1
Jul 12 22:56:21 2012 VPN Log (g2gips0) #102: ERROR: asynchronous network error report on ppp1 for message to 58.9.17.10 port 500, complainant 58.9.17.10: No route to host [errno 148, origin ICMP type 3 code 1 (not authenticated)]

IP เปลี่ยน DDNS ก็อัพเดทให้ แต่ VPN มันไม่ยอมแก้ไขและต่อ Connection ใหม่
เพราะตัว VPN ไม่เห็น Dead Peer Detection ครับผม
ทำยังไงดีครับผม

หรือว่าปิด Keep Alive แล้วเปิด Aggressive mode แทน ?
เพราะ Router จะได้ไม่เก็บค่าเก่าไว้ แล้วต่อตลอดแทน เพื่อจะได้เห็น Dead Peer

[sys2u]

• สรุปว่าตอนนี้ปัญหาคือ พอ IP address เปลี่ยนไปเป็นอันใหม่ แล้วตัว IPSec VPN ของ RV042 มันยังไม่เปลี่ยน แล้วยังจำ IP Address เดิมอยู่ แล้วก็พยายามที่จะเชื่อมต่อ VPN ไปยังเบอร์เดิมถูกมั๊ยครับ ?
  
  
• ถ้าเป็นแบบนี้มันแปลกๆ นะครับ ไม่เคยเจอกรณีนี้เหมือนกันนะครับ + แล้วถ้าเราลองใส่ IP Address ไปเลยเป็นเบอร์ของปัจจุบัน แล้วกด save settings แล้วมันยังจำเบอร์เดิมอีกหรือเปล่าครับ ?
  
  
• ส่วนเรื่อง Aggressive Mode จะลองดูก็ได้นะครับผม แต่ว่าถ้ามันยังจำ IP Address เดิมอยู่แล้วนี้ยังงัยมันก็ไม่น่าจะเจออยู่ดีนะครับผม แปลกดีครับ + หรือจะลอง upgrade firmware ตัวล่าสุดแล้ว RESET 30 วินาที แล้วเอาใหม่ทั้งคู่มั๊ยครับ ? ดูแล้วมันทำงานงงๆ อยู่นะครับผม

[Tentenchi]

IP ของ VPN เปลี่ยนตาม IP ใหม่แล้วครับ
Log ฟ้องว่า Connect ไปยัง IP ใหม่แล้ว แต่ขึ้นว่า No Route to Host ครับผม

ผมอัพเดท Router เป็น FW ล่าสุดแล้ว
แต่ไม่เคย Reset ก่อนใช้ต่อนะครับผม

ผมต้องตั้งให้เป็น Factory Setting ได้เลยนะครับผม

[sys2u]

IP ของ VPN เปลี่ยนตาม IP ใหม่แล้วครับ
Log ฟ้องว่า Connect ไปยัง IP ใหม่แล้ว แต่ขึ้นว่า No Route to Host ครับผม

ผมอัพเดท Router เป็น FW ล่าสุดแล้ว
แต่ไม่เคย Reset ก่อนใช้ต่อนะครับผม

ผมต้องตั้งให้เป็น Factory Setting ได้เลยนะครับผม

• ลอง reset 30 วินาทีแล้วก็กด factory default ไปด้วยเลยก้ได้ครับ เอาให้หมดเลยครับผม แล้วลองดูอีกทีครับผม + ถ้าไม่ได้ลองส่งข้อมูลของลิงค์มาก้ได้ครับ เอามาลองต่อกับ RV042 ของที่ office ของเราดูก็ได้ครับว่าสามารถเชื่อมต่อได้หรือไม่นะครับผม

[Tentenchi]

เอ
วันนี้รบกวนให้คนทาง Site Reset จากข้างใน Router แล้ว แต่เขาไม่ได้กด Reset ได้ใช่ป่ะครับ
เพราะ Configuration ทั้งหมดหายเกลี้ยง

เดี๋ยววันนี้ผมจะกลับไปทำส่วนที่บ้านอีกทีครับผม

[Tentenchi]

ครับผม วันนี้ผมสั่งให้ Factory Default ทั้ง 2 ตัวแล้วครับ
หลังจากต่อแล้วได้ทันทีเลย แต่ผมก็ต้อง Monitor ต่อไปว่าจะเสียหลังจากผ่านไปวันหนึ่งหรือเปล่าครับผม

ขอบคุณครับผม